Trivy

Um ataque à cadeia de suprimentos visando o popular scanner Trivy resultou na infecção de diversos pacotes npm por um novo malware chamado CanisterWorm. Este worm se propaga automaticamente e utiliza um canister da Internet Computer blockchain como ponto de controle. O ataque foi atribuído ao grupo criminoso TeamPCP, que publicou versões maliciosas do Trivy contendo um ladrão de credenciais. A infecção ocorre através de um hook postinstall que executa um loader, instalando um backdoor em Python que se conecta ao canister para buscar novos payloads. O malware é projetado para ser resiliente, utilizando um serviço systemd que reinicia automaticamente o backdoor. Além disso, uma nova variante do CanisterWorm foi identificada, que se propaga sem intervenção manual, coletando tokens npm do ambiente do desenvolvedor. A situação é crítica, pois cada desenvolvedor que instala pacotes infectados pode se tornar um vetor de propagação, ampliando o alcance do ataque. Este incidente destaca a vulnerabilidade dos sistemas de gerenciamento de pacotes e a necessidade urgente de medidas de segurança mais robustas.